c:\windows\system\MyPicture.bmp.vbs 
c:\WINDOWS\Start Menu\Programs\StartUp\RunDLL.vbs 
c:\My Documents\MyPicture.bmp.vbs 
c:\MyPicture.bmp.vbs

Luego, el virus sobreescribe cualquier archivo ".VBS" en los siguientes directorios, con su propio código:

c:\ 
c:\My Documents\ 
c:\Windows\ 
c:\windows\samples\wsh\

Si el programa cliente de chat, mIRC está instalado en la computadora infectada, el virus modifica el archivo C:\MIRC\SCRIPT.INI y C:\MIRC\MIRC.INI, para que en cada conexión de este programa a los canales IRC, el autor del virus sea notificado de la dirección IP de la PC contaminada, presumiblemente para ser usado por un troyano. El mensaje enviado posee este formato:

Hi. [servidor] [puerto] [dirección IP] [sistema operativo] [hora] [fecha] [nombre del canal] it's been [hora] since my last reboot! Mil0.4b

Además de esto, cada vez que el mIRC se une a algún canal de chat, el virus intenta enviarse a si mismo (el archivo que intenta enviar es "MyPicture.bmp.vbs"), a todos los demás usuarios de ese canal.

Luego, el virus modifica estas claves del registro:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
WinLoad = c:\windows\system\MyPicture.bmp.vbs

Un archivo de texto llamado c:\Millennium.NFO es creado en el directorio raíz de la unidad C:\, con el siguiente texto:

Millennium 0.4b - mIRC/vBS
Fear the Millennium

Esta variante también crea los archivos fix.txt, fix.hex, fix.bat, lcoder.hex y short.src, en el directorio actual. Luego el gusano ejecuta el archivo fix.bat.

El archivo FIX.BAT es un archivo de proceso por lotes, que utiliza la utilidad DEBUG.EXE del DOS, para crear un archivo binario a partir del código assembler presente en SHORT.SRC.

El archivo SHORT.COM creado, es ejecutado enseguida por el virus. Este archivo codifica a su vez, al archivo LOADER.HEX y lo convierte en LOADER.EXE. LOADER.EXE se ejecuta, y procesa entonces las instrucciones del archivo FIX.TXT, para codificar el archivo FIX.HEX convirtiéndolo en FIX.EXE.

Finalmente se ejecuta FIX.EXE y todos los archivos creados por el gusano en esta etapa son borrados.

El archivo FIX.EXE es el servidor del troyano con características de acceso remoto y backdoor (acceso por la "puerta trasera" de la computadora infectada), llamado "Backdoor.TheThing.c" o "the tHing v1.6". Este ejecutable está comprimido con la utilidad UPX.

Cuando se ejecuta, este troyano se instala a si mismo en el sistema, copiándose en la carpeta C:\WINDOWS, como C:\WINDOWS\EXPLOR.EXE (note que el nombre es CASI similar al archivo de Windows EXPLORER.EXE).

El troyano también modifica la sección [boot] del archivo C:\WINDOWS\SYSTEM.INI:

Antes:

[boot]
shell=explorer.exe

Después:

[boot]
shell=explorer.exe explor.exe

Esto le permitirá al trojan ejecutarse cada vez que un proceso del explorador de Windows es creado.

Una vez activado, el troyano notifica al autor del mismo cuando la víctima está conectada a Internet, usando para ello la librería WWPMsg.dll. Se envía entonces el mensaje "Victim is ONLINE".

El caballo de Troya permite el acceso al sistema infectado por parte de quien tenga la parte cliente del mismo. Como este troyano está protegido con password, solo el atacante que tenga la clave correcta podrá conectarse a él, y obtener el control de la PC infectada.

Payload 

El 31 de diciembre, el virus modifica las siguientes claves del registro:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
RegisteredOwner = Millennium 0.4b

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
RegisteredOrganization = uNF

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
ProductName = Winblows 2000

Además, también el 31 de diciembre, el archivo C:\AUTOEXEC.BAT será sobrescrito por este mensaje de texto:

Your Computer is NOT Y2K Complient!
Sorry For this Inconvenience

Millennium 0.4b

Luego se desplegará una ventana con este mensaje:

Happy New Year!

Variante VBS.Illen.B

Es similar al VBS.Illen, y realiza las mismas modificaciones, pero tiene una diferencia, después de modifica el archivo C:\MIRC\MIRC.INI, no hace nada más.


Para limpiar el virus manualmente

Primero, es necesario ejecutar un antivirus actualizado, y se deberán borrar todos los archivos detectados por este como "VBS.Illen", "Backdoor.TheThing.c" o "the tHing v1.6".

Se deberán restaurar los archivos .VBS modificados por el virus, desde una copia de respaldo.

Se deberá restaurar desde una copia de respaldo, los archivos C:\MIRC\SCRIPT.INI y C:\MIRC\MIRC.INI, o estos deberán ser borrados. Posiblemente la reinstalación del mIRC sea necesaria.

Se deberá borrar la carpeta "WinLoad" de la siguiente rama del registro:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
WinLoad = c:\windows\system\MyPicture.bmp.vbs

Restaurar también las claves correctas del registro modificadas el 31 de diciembre (si se hubiera producido esta modificación), de la siguiente rama:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion

Las claves a modificar (en la ventana de la derecha del REGEDIT) son:

RegisteredOwner = [nombre del usuario registrado]
RegisteredOrganization = [nombre de la organización o nada]
ProductName = [Microsoft Windows 98 o la que corresponda]

También habrá que restaurar o borrar el archivo AUTOEXEC.BAT si éste fue modificado. Aunque no es necesario para Windows, algunas aplicaciones de DOS pueden requerir su presencia, sobre todo para la configuración del teclado.

Por último, corregir la línea "shell=" de la sección [boot] del archivo C:\WINDOWS\SYSTEM.INI, dejando solamente lo siguiente:

shell=explorer.exe

Aconsejamos en este, como en todos los casos, seguir las prácticas habituales para permanecer alejado de este tipo de virus, así como instalar un firewall (muro de fuego o cortafuego), como el Zone Alarm, gratuito para uso personal, para prevenir la acción de un troyano.

Fuentes: F-Prot, y examen propio del código